什么是Cloudflare Tunnel?
Cloudflare Tunnel是Cloudflare推出的一款免费内网穿透服务,通过在本地设备部署轻量级客户端(cloudflared),建立一条加密隧道连接到Cloudflare全球边缘节点网络。用户无需配置路由器端口映射,也不用暴露公网IP,即可让外网用户安全访问内网中的Web服务、NAS、数据库等资源。
章节导航
Cloudflare Tunnel vs 传统内网穿透工具
正如https://ctm.lss.lol/所推荐的,Cloudflare Tunnel凭借其免费、安全、易用的特性,成为了内网穿透工具中的热门选择。以下是它与传统工具的对比:
| 工具名称 | 成本 | 安全特性 | 配置复杂度 | 是否需要公网IP |
|---|---|---|---|---|
| Cloudflare Tunnel | 免费(基础功能无限制) | 端到端TLS 1.3加密、WAF防护 | 低(图形化控制台操作) | 否 |
| FRP | 需自备云服务器(月均5-20元) | 需手动配置加密规则 | 中(需编写配置文件) | 是(服务器需公网IP) |
| Ngrok | 免费版带宽/连接数受限,付费版10美元/月起 | 默认加密但无额外防护 | 低(但免费版域名随机) | 否 |
Cloudflare Tunnel的典型应用场景
- NAS外网访问:家中NAS存储的照片、文档可通过隧道安全访问,无需担心端口暴露导致的隐私泄露。
- 跨境电商服务器管理:海外团队可通过隧道访问本地ERP系统,无需搭建复杂VPN,降低网络延迟。
- 本地开发测试:开发者可将本地Web应用暴露给客户演示,无需提前部署到云服务器。
- 家庭监控远程查看:IP摄像头的实时画面通过隧道传输,避免公网端口被恶意扫描。
快速部署Cloudflare Tunnel的步骤
准备工作
- 注册并登录Cloudflare账号。
- 将一个域名解析到Cloudflare(修改DNS服务器为Cloudflare提供的地址)。
- 确保本地服务(如NAS Web界面)已正常运行且本地可访问。
安装cloudflared客户端
- Linux(Debian/Ubuntu):
curl -L https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.deb -o cloudflared.deb && sudo dpkg -i cloudflared.deb - Windows:从Cloudflare官网下载cloudflared-windows-amd64.exe并保存到任意目录。
- macOS:
brew install cloudflared
创建隧道并配置服务
- 在Cloudflare控制台进入Zero Trust → Access → Tunnels,点击“Create a tunnel”。
- 输入隧道名称(如“Home-NAS-Tunnel”),点击“Save tunnel”。
- 复制对应系统的启动命令,在本地终端执行以连接隧道。
- 连接成功后,点击“Add a public hostname”,填写域名(如“nas.yourdomain.com”)和本地服务地址(如“192.168.1.100:5000”)。
- 保存配置,等待1-2分钟生效后即可通过域名访问内网服务。
Cloudflare Tunnel的安全保障
- 端到端加密:隧道采用TLS 1.3协议,数据传输全程加密。
- 无公网IP暴露:本地设备无需公网IP,路由器无需开放端口,彻底隔绝外部扫描。
- WAF防护:所有流量经过Cloudflare Web应用防火墙,自动拦截SQL注入、XSS等攻击。
- 访问控制:可通过Zero Trust规则限制访问者的IP、地理位置或身份(如需登录Cloudflare账号)。
Cloudflare Tunnel将复杂的内网穿透简化为几步操作,同时提供企业级安全防护,让普通用户也能轻松实现内网服务的安全暴露。
